Estrella Digital Seguridad y Defensa
El Periódico Decano de la Prensa Digital
Buscar
Secciones
Síguenos
Última hora

El ciberataque que dejó sin luz a Ucrania: así fue la operación contra su red eléctrica

El 23 de diciembre de 2015, un ciberataque coordinado provocó apagones masivos en Ucrania. La Agencia de Ciberseguridad de EE. UU. atribuyó la ofensiva a actores estatales rusos tras realizar una investigación oficial. El informe de la CISA advertía de que muchas infraestructuras industriales modernas, incluidas las eléctricas, presentan vulnerabilidades que pueden pasar desapercibidas

España a oscuras: sólo los ingenieros podrán confirmar si hubo ciberataque

¿Apagón o ataque? El riesgo real para las infraestructuras críticas y patrones que se repiten

ok
El ciberataque contra la red eléctrica de Ucrania afectó a tres compañías regionales de distribución eléctrica y a otras tres organizaciones de distintos sectores críticos.
A. Moya / J.A. Gómez
03/05/25 | 17:13 | Tiempo de lectura: 4 min.

El 23 de diciembre de 2015, varias compañías eléctricas ucranianas sufrieron cortes de energía no programados que afectaron a aproximadamente 225.000 clientes en diferentes regiones del país. La información procede de un informe de la CISA, la Agencia estadounidense de Ciberdefensa, revisado el 20 de julio de 2021. Según el Gobierno de Estados Unidos, los responsables fueron hackers vinculados a Rusia, en una operación dirigida contra infraestructuras críticas de Ucrania.

El informe, basado en entrevistas con empleados de las empresas afectadas, fue elaborado por un equipo interinstitucional estadounidense que viajó a Ucrania para colaborar con las autoridades locales. Participaron expertos del Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC, por sus siglas en inglés), del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial del Departamento de Seguridad Nacional, del FBI y de la Corporación de Confiabilidad Eléctrica de América del Norte.

Un ataque sincronizado y destructivo

El ciberataque afectó a tres compañías regionales de distribución eléctrica y a otras tres organizaciones de distintos sectores críticos. Según el informe, el ataque fue sincronizado, con diferencias de apenas 30 minutos entre las intrusiones, y se extendió a múltiples instalaciones centrales y regionales. Los atacantes emplearon herramientas de administración remota a través de conexiones VPN, tras obtener credenciales legítimas de acceso.

Durante el ataque, los sistemas de control fueron manipulados a distancia para cortar el suministro eléctrico. Además, los atacantes ejecutaron el malware KillDisk, que borra archivos clave y corrompe el registro de arranque maestro, dejando los sistemas inoperativos. También se detectó sabotaje de dispositivos de red en subestaciones eléctricas y la desconexión de sistemas de alimentación ininterrumpida (UPS).

BlackEnergy y las dudas técnicas

Aunque se detectó el malware BlackEnergy en los sistemas informáticos de las empresas afectadas, el papel que jugó en los hechos no ha podido ser confirmado. Según el informe de la CISA, el malware pudo haberse usado como vector de acceso inicial mediante correos electrónicos con archivos maliciosos, aunque no se activaron funciones específicas del mismo.

El informe destaca que, si bien los datos técnicos no fueron revisados de forma independiente, la consistencia de los testimonios y documentos analizados respaldan la hipótesis de un ciberataque externo como causa directa de los apagones.

Recomendaciones para evitar nuevos ataques

La CISA ofrece una serie de recomendaciones dirigidas a organizaciones que operan infraestructuras críticas. Entre ellas se encuentran la gestión activa de activos digitales, el uso de listas blancas de aplicaciones para evitar ejecución de malware, el aislamiento de redes industriales del entorno de Internet y la implementación de autenticación multifactor para accesos remotos.

Asimismo, se insiste en limitar la funcionalidad remota, bloquear puertos y servicios innecesarios, y revisar las configuraciones de red para eliminar posibles puertas traseras que puedan ser explotadas por atacantes.

Las vulnerabilidades del sistema eléctrico y los riesgos ocultos

El informe de la CISA advierte de que muchas infraestructuras industriales modernas, incluidas las eléctricas, presentan vulnerabilidades que pueden pasar desapercibidas. Estas debilidades, conocidas como "puertas traseras", pueden ser resultado de deficiencias en el diseño del perímetro de red, configuraciones olvidadas o funcionalidades activadas sin un análisis de seguridad riguroso. Los actores maliciosos no necesitan acceso físico: basta con que descubran una función de acceso expuesta para explotar el sistema.

Entre los puntos más críticos, el documento señala los componentes del perímetro de red, como cortafuegos, servicios de acceso remoto y conexiones inalámbricas. Aunque diseñados para mejorar la operatividad y comunicación entre redes, estos elementos pueden contener fallos que abren la puerta a intrusiones externas. En un entorno interconectado, un solo punto de compromiso puede dar acceso a múltiples sistemas debido a la confianza preexistente entre dispositivos.

La CISA subraya también que el acceso remoto debe estar estrictamente controlado, limitado en el tiempo y sujeto a protocolos estrictos de supervisión. Por ello, desaconseja el uso de conexiones persistentes de proveedores externos. Como alternativa más segura, recomienda utilizar comunicación unidireccional mediante separación óptica o aplicar acceso “solo supervisión” con diodos de datos. En todos los casos, debe evitarse confiar únicamente en mecanismos como contraseñas o certificados blandos.

Etiquetas:
Ucrania ciberataque infraestructuras críticas Apagón
Más en Seguridad y Defensa